Политика в отношении обработки персональных данных Дата: 01.08.2022
Общие положения
Настоящая Политика в отношении обработки ПДн (далее – «Политика») подготовлена в соответствии с п. 2 ч .1 ст. 18.1 Федерального закона Российской Федерации «О персональных данных» N 152-ФЗ от 27 июля 2006 года (далее – «152-ФЗ») и определяет позицию ООО «ИМБА-СОФТ» (далее – «Компания») в области обработки и защиты персональных данных (далее – «ПДн»), соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.
Область применения
1. Понимая важность и ценность ПДн, а также заботясь о соблюдении конституционных прав граждан Российской Федерации, Компания обеспечивает надежную их защиту.
2. Под безопасностью ПДн Компания понимает защищенность ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн и принимает необходимые правовые, организационные и технические меры для защиты ПДн.
3. Обработка и обеспечение безопасности ПДн в Компании осуществляется в соответствии с требованиями Конституции Российской Федерации, 152-ФЗ, Трудового кодекса РФ и других подзаконных актов и федеральных законов РФ, определяющих случаи и особенности обработки ПДн.
4. Субъектами ПДн, обработка ПДн, которых осуществляется Компанией, являются:
4.1. Работники Компании, с которыми заключен трудовой договор или договор подряда;
4.2. Кандидаты на замещение вакантных должностей в Компании;
4.3. Клиенты Компании.
5. Обработка ПДн субъектов ПДн осуществляется Компанией в целях:
5.1. соблюдения специальных обязательств и прав Компании в области трудового законодательства РФ, в том числе регулирующего отношения в сфере пенсионного обеспечения работников, их социального и иных видов страхования, соблюдения требований налогового и иного применимого законодательства;
5.2. содействия работникам в трудоустройстве, обучении и продвижении по службе;
5.3. обеспечения личной безопасности работников и сохранности имущества Компании;
5.4. осуществления деятельности по контролю за количеством и качеством выполняемой работниками работы;
5.5. оформления полисов добровольного медицинского страхования для работников;
5.6. исполнение обязательств по договорам, заключенным Компанией с третьими лицами.
6. При обработке ПДн Компания придерживается следующих принципов:
6.1. обработка ПДн осуществляется на законной и справедливой основе;
6.2. ПДн не раскрываются третьим лицам и не распространяются без согласия субъекта ПДн (если иное не предусмотрено законодательством Российской Федерации);
6.3. определены конкретные законные цели до начала обработки ПДн;
6.4. ведется обработка только тех ПДн, которые являются необходимыми и достаточными для заявленной цели обработки;
6.5. обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей; уничтожение либо обезличивание ПДн по достижению целей обработки или в случае утраты необходимости в достижении целей.
7. В случаях, установленных законодательством Российской Федерации, Компания осуществляет передачу ПДн третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и др.).
8. Во время посещения веб-сайтов нашей Компании осуществляется автоматический сбор данных доступа (например, IP-адрес, тип используемого веб-браузера и операционной системы, дата и времени посещения веб-сайта). Эта информация может анализироваться в обезличенном виде для оптимизации посещаемости и развития веб-сайтов Компании.
9. На веб сайтах Компании используются «сookies» — текстовые файлы, которые сохраняются на компьютере посетителя веб-сайта и позволяют выполнять анализ посещения.
10. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных.
11. Лица, осуществляющие обработку ПДн по поручению Компании, обязуются соблюдать принципы и правила обработки и защиты ПДн, предусмотренные 152-ФЗ. При заключении договора с третьим лицом в обязательном порядке определяются перечень действий (операций) с Данными, которые будут совершаться третьим лицом, осуществляющим обработку ПДн, цели обработки, а также устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке и предусматриваются требования к защите обрабатываемых ПДн.
2. Под безопасностью ПДн Компания понимает защищенность ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн и принимает необходимые правовые, организационные и технические меры для защиты ПДн.
3. Обработка и обеспечение безопасности ПДн в Компании осуществляется в соответствии с требованиями Конституции Российской Федерации, 152-ФЗ, Трудового кодекса РФ и других подзаконных актов и федеральных законов РФ, определяющих случаи и особенности обработки ПДн.
4. Субъектами ПДн, обработка ПДн, которых осуществляется Компанией, являются:
4.1. Работники Компании, с которыми заключен трудовой договор или договор подряда;
4.2. Кандидаты на замещение вакантных должностей в Компании;
4.3. Клиенты Компании.
5. Обработка ПДн субъектов ПДн осуществляется Компанией в целях:
5.1. соблюдения специальных обязательств и прав Компании в области трудового законодательства РФ, в том числе регулирующего отношения в сфере пенсионного обеспечения работников, их социального и иных видов страхования, соблюдения требований налогового и иного применимого законодательства;
5.2. содействия работникам в трудоустройстве, обучении и продвижении по службе;
5.3. обеспечения личной безопасности работников и сохранности имущества Компании;
5.4. осуществления деятельности по контролю за количеством и качеством выполняемой работниками работы;
5.5. оформления полисов добровольного медицинского страхования для работников;
5.6. исполнение обязательств по договорам, заключенным Компанией с третьими лицами.
6. При обработке ПДн Компания придерживается следующих принципов:
6.1. обработка ПДн осуществляется на законной и справедливой основе;
6.2. ПДн не раскрываются третьим лицам и не распространяются без согласия субъекта ПДн (если иное не предусмотрено законодательством Российской Федерации);
6.3. определены конкретные законные цели до начала обработки ПДн;
6.4. ведется обработка только тех ПДн, которые являются необходимыми и достаточными для заявленной цели обработки;
6.5. обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей; уничтожение либо обезличивание ПДн по достижению целей обработки или в случае утраты необходимости в достижении целей.
7. В случаях, установленных законодательством Российской Федерации, Компания осуществляет передачу ПДн третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и др.).
8. Во время посещения веб-сайтов нашей Компании осуществляется автоматический сбор данных доступа (например, IP-адрес, тип используемого веб-браузера и операционной системы, дата и времени посещения веб-сайта). Эта информация может анализироваться в обезличенном виде для оптимизации посещаемости и развития веб-сайтов Компании.
9. На веб сайтах Компании используются «сookies» — текстовые файлы, которые сохраняются на компьютере посетителя веб-сайта и позволяют выполнять анализ посещения.
10. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных.
11. Лица, осуществляющие обработку ПДн по поручению Компании, обязуются соблюдать принципы и правила обработки и защиты ПДн, предусмотренные 152-ФЗ. При заключении договора с третьим лицом в обязательном порядке определяются перечень действий (операций) с Данными, которые будут совершаться третьим лицом, осуществляющим обработку ПДн, цели обработки, а также устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке и предусматриваются требования к защите обрабатываемых ПДн.
Права и обязанности субъектов ПДН, а так же компании в части обработки ПДН
1. Работник, ПДн которого обрабатываются Компанией, имеет право:
1.1. получать от Компании:
1.1.1. подтверждение факта обработки ПДн и сведения о наличии ПДн, относящихся к соответствующему субъекту ПДн;
1.1.2. сведения о правовых основаниях и целях обработки ПДн;
1.1.3. сведения о применяемых способах обработки ПДн;
1.1.4. сведения о наименовании и местонахождении Компании;
1.1.5. сведения о лицах, которые имеют доступ к Данным или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федеральных законов;
1.1.6. перечень обрабатываемых ПДн, относящихся к субъекту ПДн, и информацию об источнике их получения, если иной порядок предоставления таких ПДн не предусмотрен федеральными законами;
1.1.7. сведения о сроках обработки ПДн, в том числе о сроках их хранения;
1.1.8. сведения о порядке осуществления субъектом ПДн прав, предусмотренных 152-ФЗ; 1.1.9. информацию об осуществляемой или о предполагаемой трансграничной передаче ПДн;
1.1.10. наименование и адрес лиц, осуществляющих обработку ПДн по поручению Компании;
1.1.11. иные сведения, предусмотренные 152-ФЗ или другими нормативноправовыми актами Российской Федерации;
1.2. требовать от Компании:
1.2.1. уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
1.2.2. отозвать свое согласие на обработку ПДн;
1.2.3. требовать устранения неправомерных действий Компании в отношении его ПДн;
1.2.4. обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы;
1.2.5. возмещения убытков и/или компенсацию морального вреда в судебном порядке для защиты своих прав и законных интересов.
2. Компания в процессе обработки ПДн обязуется:
2.1. предоставить субъекту ПДн по его просьбе информацию, предусмотренную частью 7 статьи 14 152-ФЗ;
2.2. разъяснить субъекту ПДн последствия отказа предоставить ПДн, если предоставление ПДн является обязательным в соответствии с федеральным законом;
2.3. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
2.4. опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
2.5. предоставить субъектам ПДн и/или их представителям безвозмездно возможность ознакомления с Данными при обращении с соответствующим запросом в течение 30 дней с даты получения подобного запроса;
2.6. предоставить субъектам ПДн мотивированный ответ со ссылкой на 152-ФЗ или иной федеральный закон, являющейся основанием для отказа в предоставлении ПДн по запросу;
2.7. осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекту ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн;
2.8. уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в течение 7 рабочих дней со дня представления сведений и снять блокирование ПДн, в случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн;
2.9. прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Компании, в случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты этого выявления;
2.10. прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, в случае достижения цели обработки ПДн;
2.11. прекратить обработку ПДн или обеспечить ее прекращение и уничтожить ПДн или обеспечить их уничтожение в случае отзыва субъектом ПДн согласия на обработку ПДн, если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн.
1.1. получать от Компании:
1.1.1. подтверждение факта обработки ПДн и сведения о наличии ПДн, относящихся к соответствующему субъекту ПДн;
1.1.2. сведения о правовых основаниях и целях обработки ПДн;
1.1.3. сведения о применяемых способах обработки ПДн;
1.1.4. сведения о наименовании и местонахождении Компании;
1.1.5. сведения о лицах, которые имеют доступ к Данным или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федеральных законов;
1.1.6. перечень обрабатываемых ПДн, относящихся к субъекту ПДн, и информацию об источнике их получения, если иной порядок предоставления таких ПДн не предусмотрен федеральными законами;
1.1.7. сведения о сроках обработки ПДн, в том числе о сроках их хранения;
1.1.8. сведения о порядке осуществления субъектом ПДн прав, предусмотренных 152-ФЗ; 1.1.9. информацию об осуществляемой или о предполагаемой трансграничной передаче ПДн;
1.1.10. наименование и адрес лиц, осуществляющих обработку ПДн по поручению Компании;
1.1.11. иные сведения, предусмотренные 152-ФЗ или другими нормативноправовыми актами Российской Федерации;
1.2. требовать от Компании:
1.2.1. уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
1.2.2. отозвать свое согласие на обработку ПДн;
1.2.3. требовать устранения неправомерных действий Компании в отношении его ПДн;
1.2.4. обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы;
1.2.5. возмещения убытков и/или компенсацию морального вреда в судебном порядке для защиты своих прав и законных интересов.
2. Компания в процессе обработки ПДн обязуется:
2.1. предоставить субъекту ПДн по его просьбе информацию, предусмотренную частью 7 статьи 14 152-ФЗ;
2.2. разъяснить субъекту ПДн последствия отказа предоставить ПДн, если предоставление ПДн является обязательным в соответствии с федеральным законом;
2.3. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
2.4. опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
2.5. предоставить субъектам ПДн и/или их представителям безвозмездно возможность ознакомления с Данными при обращении с соответствующим запросом в течение 30 дней с даты получения подобного запроса;
2.6. предоставить субъектам ПДн мотивированный ответ со ссылкой на 152-ФЗ или иной федеральный закон, являющейся основанием для отказа в предоставлении ПДн по запросу;
2.7. осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекту ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн;
2.8. уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в течение 7 рабочих дней со дня представления сведений и снять блокирование ПДн, в случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн;
2.9. прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Компании, в случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты этого выявления;
2.10. прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, в случае достижения цели обработки ПДн;
2.11. прекратить обработку ПДн или обеспечить ее прекращение и уничтожить ПДн или обеспечить их уничтожение в случае отзыва субъектом ПДн согласия на обработку ПДн, если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн.
Меры по защите
1. Компания при обработке ПДн принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
2. К таким мерам в соответствии с 152-ФЗ, в частности, относятся:
2.1. В Компании назначен ответственный за обработку ПДн;
2.2. Определены угрозы безопасности ПДн при их обработке в информационных системах ПДн; 2.3. Применяются организационные и технические меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимые для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
2.4. Применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
2.5. Проведена оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
2.6. Ведется учет машинных носителей ПДн;
2.7. Контролируются факты несанкционированного доступа к ПДн и принимаются меры по недопущению подобных инцидентов в дальнейшем;
2.8. Организована возможность восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
2.9. Установлены правила доступа к персональным данным, обрабатываемым в информационной системе ПДн, а также обеспечивается регистрации и учет всех действий, совершаемых с персональными данными в информационной системе ПДн;
2.10. Ведется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности информационных систем ПДн.
2. К таким мерам в соответствии с 152-ФЗ, в частности, относятся:
2.1. В Компании назначен ответственный за обработку ПДн;
2.2. Определены угрозы безопасности ПДн при их обработке в информационных системах ПДн; 2.3. Применяются организационные и технические меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимые для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
2.4. Применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
2.5. Проведена оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
2.6. Ведется учет машинных носителей ПДн;
2.7. Контролируются факты несанкционированного доступа к ПДн и принимаются меры по недопущению подобных инцидентов в дальнейшем;
2.8. Организована возможность восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
2.9. Установлены правила доступа к персональным данным, обрабатываемым в информационной системе ПДн, а также обеспечивается регистрации и учет всех действий, совершаемых с персональными данными в информационной системе ПДн;
2.10. Ведется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности информационных систем ПДн.
Порядок получения разъяснений по вопросам обработки ПДН
1. Лица, чьи ПДн обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих ПДн, обратившись лично в Компанию или направив соответствующий письменный запрос по адресу местонахождения Компании: 117587, г. Москва, Варшавское шоссе, 125Ж, корп.6.
2. В случае направления официального запроса в Компанию в тексте запроса необходимо указать: 2.1. фамилию, имя, отчество субъекта ПДн или его представителя;
2.2. номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
2.3. сведения, подтверждающие наличие у субъекта ПДн отношений с Компанией;
2.4. подпись субъекта ПДн (или его представителя).
2. В случае направления официального запроса в Компанию в тексте запроса необходимо указать: 2.1. фамилию, имя, отчество субъекта ПДн или его представителя;
2.2. номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
2.3. сведения, подтверждающие наличие у субъекта ПДн отношений с Компанией;
2.4. подпись субъекта ПДн (или его представителя).
Заключительные положения
1. Настоящая Политика является локальным нормативным документом Компании и хранится в бумажном виде по адресу местонахождения Компании у работника, ответственного за организацию обработки ПДн.
2. Настоящая Политика может быть пересмотрена в любом из следующих случаев:
2.1. при изменении законодательства Российской Федерации в области обработки и защиты ПДн; 2.2. в случаях получения предписаний на устранение несоответствий, затрагивающих область действия Политики;
2.3. по решению руководства Компании;
2.4. при изменении целей обработки ПДн;
2.5. при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);
2.6. при применении новых технологий обработки ПДн (в т.ч. передачи, хранения);
2.7. при появлении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Компании.
3. В случае неисполнения положений настоящей Политики, Компания и ее работники несут ответственность в соответствии с действующим законодательством Российской Федерации.
2. Настоящая Политика может быть пересмотрена в любом из следующих случаев:
2.1. при изменении законодательства Российской Федерации в области обработки и защиты ПДн; 2.2. в случаях получения предписаний на устранение несоответствий, затрагивающих область действия Политики;
2.3. по решению руководства Компании;
2.4. при изменении целей обработки ПДн;
2.5. при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);
2.6. при применении новых технологий обработки ПДн (в т.ч. передачи, хранения);
2.7. при появлении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Компании.
3. В случае неисполнения положений настоящей Политики, Компания и ее работники несут ответственность в соответствии с действующим законодательством Российской Федерации.
117246, город Москва
Научный проезд, д. 14А, стр. 1
Научный проезд, д. 14А, стр. 1
ping@imba-soft.ru
+7 (495) 969 59 09
